Privilegierade användare har extra tillgång till företagets resurser och IT-system. Dessa konton är öppna för missbruk, missöden och utnyttjande och är en typ av insiderhot.
Dessa ytterligare åtkomsträttigheter har lett till att en nyligen genomförd Bitglass-undersökning "Spies in the Enterprise" har identifierat privilegierade användare som den största riskkällan inom en organisation.
En rapport från Gurucul bekräftar detta och visar att 63 % av organisationerna anser att privilegierade IT-användare utgör det största insiderhotet.
Dessa två rapporter är inte de första som visar att privilegierade användare är en källa till säkerhetsrisker, och de kommer säkerligen inte heller att vara de sista. Men varför lämnar denna användargrupp en organisation öppen för säkerhetshot och vad kan man göra för att minska risken med en privilegierad användare?
Den privilegierade användaren i maskinen
Ledtråden till de säkerhetshot som privilegierade användare utgör finns i namnet - privilegierad.
Priviligierad åtkomst ges till vissa rolltyper eller grupper inom en organisation. Personer som har privilegierad åtkomst behöver ytterligare åtkomsträttigheter jämfört med vanliga användare eftersom de förvaltar IT-infrastruktur eller behöver tillgång till känsliga företagsresurser osv.
Men tyvärr har dessa användare nycklarna till ditt företags rike när de väl har tilldelats privilegierad åtkomst.
Problemet med privilegier är att de skapar ett tveeggat svärd. Å ena sidan behöver dessa användare extra rättigheter för att få tillgång till säkra och känsliga områden, men dessa rättigheter kan missbrukas, missbrukas eller kapas.
Hur man ska lösa detta är ett av de svåraste områdena som en IT-avdelning måste ta itu med. Några av problemen med användare med privilegierad åtkomst är följande:
Användare med privilegierad åtkomst är ett mål för cyberbrottslingar
De som har nyckeln till uppgifterna är utmärkta måltavlor. Cyberbrottslingar fokuserar på vissa roller och grupper inom en organisation för att dra nytta av deras åtkomsträttigheter. Om en cyberkriminell kan få tag på dessa åtkomsträttigheter kan han eller hon röra sig runt i organisationen och ta sig in i känsliga delar av ett nätverk utan att bli upptäckt.
På grund av detta blir privilegierade användare måltavlor för spear-phishing-attacker. Hackare som skapar spear-phishing-kampanjer känner sina mål väl. De ägnar tid åt att förstå vilka de är och vilka utlösande faktorer de kommer att reagera på.
Avdelningar som till exempel leverantörsreskontra är ofta offer för spear-phishing-attacker, eftersom de kan få tillgång till finansiella konton och överföra pengar. För att sätta detta i perspektiv kan nämnas att en rapport från Symantec från 2019 visade att spear-phishing-e-post användes av 65 % av alla kända grupper som utförde riktade cyberattacker.
Förvaltning och kontroll av efterlevnad
Priviligierade användare har ofta tillgång till behörigheter och säkerhetskontroller. Med tillgång följer kontroll. Om en privilegierad användare, även om det är oavsiktligt, ändrar en behörighet eller en säkerhetsinställning kan det leda till att en organisation inte längre följer bestämmelser som GDPR, DPA2018, PCI osv.
Privilegier förändras och utvecklas
Priviligierade användare flyttar ofta runt i en organisation. När de gör det kan deras åtkomsträttigheter behöva ändras. Det kan dock vara komplicerat att göra dessa ändringar om de inte övervakas noggrant.
Dessutom kan personer som lämnar företaget och som har privilegierad åtkomst ofta falla igenom säkerhetsnätet och lämna företaget samtidigt som de fortfarande har privilegierad åtkomst. I en rapport från Hague Delta konstaterades att de som lämnar ett företag utgör det största insiderhotet mot dataexponering. Rapporten visade också att 89 % av de som lämnade företaget fortfarande hade tillgång till uppgifter efter att de lämnat företaget.
Sätt att förhindra missbruk och missöden av privilegierade användare
Det finns flera sätt att minska risken för insiderhot i samband med privilegierade användare. Här är några av de mest effektiva:
Hantera privilegier
Det finns en princip som kallas "minsta privilegium" och som är en grundläggande princip för kontroll i en organisation. Den går ungefär så här: ge dina anställda bara de behörigheter som behövs för att de ska kunna utföra sitt arbete, och inte mer.
Ett sätt att få detta att fungera är att vara detaljerad i hur du ställer in behörigheter. Du kan t.ex. ansöka om behörigheter per applikation i stället för globalt och ställa in åtkomsträttigheter baserat på en användare i stället för på en hel användargrupp. Ju fler rättigheter du ger någon, desto större är risken.
Utbilda privilegierade användare om social ingenjörskonst
Eftersom privilegierade användare står i cyberkriminellas fokus är de ofta utsatta för attacker med hjälp av social ingenjörskonst. Cyberkriminella använder sig vanligtvis av underrättelseinhämtning och övervakning av privilegierade användare för att förbereda sig för en attack eller ett bedrägeri eller för att informera en spear-phishing-kampanj.
Utbilda dina privilegierade användare om den ökade risken i samband med deras åtkomsträttigheter och om hur man upptäcker tecken på social ingenjörskonst som används för att rikta sig till privilegierade användare.
Utbilda privilegierade användare i tricks och taktik för nätfiske
Spearphishing-kampanjer som riktar sig till privilegierade användare kan vara extremt svåra att upptäcka. Men om du skräddarsyr mallar för phishing-simulering så att de återspeglar de mer subtila tecknen på ett spear-phishing-meddelande kan du ge dina privilegierade användare verktygen för att hjälpa dem att identifiera misstänkta meddelanden.
Dessa simuleringar av spear-phishing bör användas i kombination med utbildning i social ingenjörskonst.
Process och politik
Skapa formella riktlinjer för utfärdande av konton med privilegierad åtkomst. Dessa riktlinjer bör utformas så att de leder till ansvarsskyldighet. De bör också återspegla principen om minsta möjliga privilegier och ge vägledning om hur kontrollerna av privilegierade konton bestäms, med hjälp av formella granskningar och godkännanden i en hierarki av intressenter.
Policyer och processer för att hantera, utbilda och kontrollera privilegierade användare bör vara en grundläggande del av din säkerhetsstrategi.
Robusta referenser
Genomför en policy för robust, flerfaktors- och riskbaserad autentisering i din övergripande säkerhetsstrategi. Detta bidrar som en del av en övergripande strategi till att minska externa hot baserade på övertagande av privilegierade insiderkonton.
Privilegierade användare är en svag länk i en organisation eftersom de har tillgång till känsliga data och IT-system. Men privilegierade användare är nödvändiga för att en organisation ska fungera smidigt. Genom att tillämpa bästa praxis för privilegierade användare, inklusive utbildning, processer och tillämpning av policyer, kan en organisation minska risken för denna viktiga kontotyp.
